Lastpass Güvenlik Uyarısı [15.06.2015]
-
https://blog.lastpass.com/2015/06/lastpass-security-notice.html/
Lastpass'ta bir hareketlilik gözlenmiş. LastPass şifre mahzeninizdeki sitelere ait bilgiler çalınMAmış. Çalınan bilgiler: lastpass e-posta adresiniz, parola hatırlatıcı, server per user salts (ne demek bilmiyorum). Konuyla ilgili tüm kullanıcılara mail gönderilmeye başlanmış. Lastpass'ın uyarı iletisini görmedikçe master parolanızı güncellemenize gerek yokmuş. Bu master parolayı başka sitelerde kullanıyorsanız eğer, o site şifrelerinizi değiştirmeniz iyi olurmuş. Mahzeninizdeki sitelere ait şifrelenmiş bilgiler çalınmadığı için mahzeninizdeki sitelere ait şifreleri değiştirmenize gerek yok.
Özet olarak biz uyarı iletisi vermedikçe master passwordu değiştirmeyebilirsiniz denmiş. Parola hatırlatıcının değiştirilmesi ile ilgili herhangi bir tavsiye yok. Ama sonuçta parola hatırlatıcı bilgiler çalınan bilgiler arasında. Bana sorarsanız lastpass'ın uyarı iletisi vermesini beklemeden master password'u ve çalınan bilgiler arasında yer alan ancak lastpass'ın herhangi bir tavsiyede bulunmadığı parola hatırlatıcıyı değiştirmek kafanızın rahat etmesi için yeterli.
-
insan şifresini niye online bir ortamda saklar ki. bugün olmasa yarın birileri bir şeyler yapacak.
-
banada geldi sıkıntı yok gonya yolu
-
Online ortamda şifre mi saklanır aq hele bir suru insanın kullandığı bir şeyi resmen hedef oluyorsun
-
iSoCan bunu yazdı
Online ortamda şifre mi saklanır aq hele bir suru insanın kullandığı bir şeyi resmen hedef oluyorsun
birde şöyle düşün aklında kaçtane farklı birbirinden alakasız şifre tutabilirsin? benim belki 50 farklı şifrem var ama hiç birini ben bilmiyorum :)
yani tbt den aldığı şifreyi benim hiç bir hesabımda kullanamaz yada benim facemi hackledi aldığı şifreyi face dışında bir yerde kullanamaz benim oturumum açıkken x kişisinin girişine izin vermez bana haber uçurur ssl güvenliklidir. vs vs
cep telefonunda premiumunu kullanıyorum kendi browserını kullanıyorum sen virüs bile atsan benim ne yaptığımı göremezsin ekran görüntüsü alamazsın :) aslında emin ol ana şifren kuvetliyse çok sağlam bir sistem
bir ara şifremi unuttum girene kadar götüm çıktı :) şifremi unuttum deyip direkt maile link atmıyo sistem :)
-
keepass kullanıp usb de kendi dbnizi taşıyabilirsiniz
-
:D olaya bak
6 martta bunu yayınlamışlar "lastpass kullanıcıları tamamen güvendedir" :D
https://blog.lastpass.com/tr/2015/03/the-freak-flaw-what-you-need-to-know.html/
15 haziranda da bunu
https://blog.lastpass.com/tr/2015/06/lastpass-security-notice.html/
-
Google Drive bile hacklendikten sonra kimse bana güvenlik demesin.
-
56832 farklı yerde bi okadar da farklı şifre olunca bi yerden sonra patlıyor insan. ama yinede online bir sisteme güven göt gerektirir.
neyseki şifreni mi unuttun canikom ? sayfaları var.
-
benim de var bir hesabım ama bir mail gelmedi bana, zaten kullanmıyorum..
salted password konusuna gelince, türkçeye tuzlama olarak çevriliyor. her kullanıcı için random oluşturulan bir kod var ve bu kod unique yapıda olması lazım(yani uzun bir şeyler oluşturulması lazım), bunun yanında bir de encrypted password alanı var yani şifrelenmiş alan. Bu alanda hashlenmiş veri kaydediliyor. Bu hashlenmiş veri sizin için üretilen salt ve sizin şifrenizin birleşiminden oluşur.
encrypted password = H (salt || your password) şeklinde gösterilir.
Burada salt ve password bağlanarak (concatenate) tek yönlü hash fonksiyona girip hashleniyorlar böylece oluşturulan encrypted şifre daha güvenli oluyor. Konuda bahsi geçen sadece salt lerin alınması, şifrelenmiş şifreleriniz ele geçirilmemiş, geçirilse dahi çok işe yaramaz çünkü sizin şifreniz yok orda.. tek yönlü çalıştığı için şifrelenmiş şiifre ve salt kullanılarak şifrenize erişilemez. Ancak e-posta adrresinin çalınması ve parolo hatırlatıcının çalınması kötü olabilir. Mesela aynı soruyu mail adresinizde de kullanmışsanız (en iyi arkadaşm kim mesela), bu sıkıntı doğurabilir :)